信息安全管理程序样式编号编制审核批准密级内部版本V1.0发布日期2009年1月5日息技术有限责任公司样式编号：WW-SM-AQ-01信息安全管理程序版本：V1.0第页共=NUMPAGES8-17页变更履历序号版本更改处·更改内容更改人/日期审核人/日期批准人/日期V1.0新建张海涛/2008.12.24.赵武/2008.12.24王喆/2008.12.24目录TOC\o"1-2"\h\z\uHYPERLINK\l"_Toc222037817"1.1目的PAGEREF_Toc222037817\h0HYPERLINK\l"_Toc222037818"1.2适用范围PAGEREF_Toc222037818\h0HYPERLINK\l"_Toc222037819"1.3术语表PAGEREF_Toc222037819\h0HYPERLINK\l"_Toc222037820"1.4引用文件PAGEREF_Toc222037820\h0HYPERLINK\l"_Toc222037821"2.职责PAGEREF_Toc222037821\h0HYPERLINK\l"_Toc222037822"2.1技术服务事业部PAGEREF_Toc222037822\h0HYPERLINK\l"_Toc222037823"2.2服务部PAGEREF_Toc222037823\h0HYPERLINK\l"_Toc222037824"3.具体内容PAGEREF_Toc222037824\h0HYPERLINK\l"_Toc222037825"3.1组织制订信息安全策略PAGEREF_Toc222037825\h0HYPERLINK\l"_Toc222037826"3.2分析客户安全需求PAGEREF_Toc222037826\h0HYPERLINK\l"_Toc222037827"3.3制定信息安全管理计划PAGEREF_Toc222037827\h0HYPERLINK\l"_Toc222037828"3.4运行监控PAGEREF_Toc222037828\h0HYPERLINK\l"_Toc222037829"3.5实施信息安全评估PAGEREF_Toc222037829\h0HYPERLINK\l"_Toc222037830"4.输出的文件和记录PAGEREF_Toc222037830\h0简介目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。适用范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。术语表可用性：需要时，被授权的使用者能够访问和使用相关资产。保密性：信息不被未授权的个人、实体、流程访问或泄漏。完整性：保护资产的准确和完整。信息安全：保护信息的保密性、完整性、可用性及其他属性。信息安全事件：识别系统、服务或网络状态发生的事件其违背了信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。信息安全事故：单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。风险：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。引用文件ISO/IEC20000-1：2005《IT服务管理手册》职责技术服务事业部负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。服务部负责组织建立信息安全管理制度和方法，计划、实施信息安全要求，监控、报告和响应信息安全事件。负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。流程图具体内容组织制订信息安全策略服务部根据IT服务工作的特点收集相应的信息安全需求。根据公司的业务需求，在技术服务事业部的安排下，管理者代表组织服务部、销售部门、研发部门根据服务级别协议（SLA）的要求，对信息安全的要求进行讨论，制订公司《信息安全管理规范》，经管理者代表批准后发放相关部门。其中应包括：信息安全活动的总方向及总则框架。信息安全管理的范围、目标、策略和要求。安全的职能和职责。风险评价标准。分析客户安全需求服务部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点，分析客户信息系统的安全要求。制定信息安全管理计划服务部